关于防盗链与跨域访问

最新推荐文章于 2023-10-23 10:51:00 发布
最新推荐文章于 2023-10-23 10:51:00 发布
阅读量1.7k 收藏
点赞数
分类专栏: 资料整理 文章标签: 防盗链 跨域访问 阿里云
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/druid0523/article/details/53939540
版权

关于防盗链与跨域访问

最近用阿里云的时候发现一些防盗链与跨域访问的一些坑,填完坑之后稍微整理一下。

防盗链

防盗链是利用浏览器Http请求头Referer,告诉服务器谁访问资源,由服务器作判断,如果符合一定规则则返回数据,否则返回403。

Flash player跨域访问

Flash player访问指定资源之前,访问根URL下的crossdomain.xml,例如访问资源http://test.com/path/to/a.m3u8之前会访问http://test.com/crossdomain.xml,由Flash player解析并判断是否可以进行跨域访问。

crossdomain.xml的范例

<?xml version="1.0"?>   
<!DOCTYPE cross-domain-policy SYSTEM "http://www.adobe.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
    <site-control permitted-cross-domain-policies="master-only"/>
    <allow-access-from domain="*.yy.com"/>
    <allow-access-from domain="*.yypm.com"/>
    <allow-access-from domain="*"/>
    <allow-http-request-headers-from domain="*.yy.com" headers="SOAPAction"/>
</cross-domain-policy>

浏览器跨域访问

具体参照http://www.ruanyifeng.com/blog/2016/04/cors.html

Flash player与OSS的跨域访问

如果需要Flash player跨域访问OSS里面的视频资源,需要设置:
1. 编写crossdomain.xml,放在bucket的根目录下
2. 将域名添加到防盗链配置中(如果防盗链配置为空,则忽略)
3. 将域名规则添加到跨域(Cors)配置规则中(如果规则列表为空,则忽略)

OSS与CDN的防盗链

OSS和CDN的防盗链配置是分离的。配置可以分为下面几种情况:
1. 只配置OSS
安全性一般,可能会通过CDN的域名扫描到资源,而且会因CDN的缓存配置导致有时候200有时候403的情况。
2. 只配置CDN
安全性一般,可能会通过OSS的域名扫描到资源。
3. OSS和CDN都配置但不保持一致
很容易混乱,出问题很难查,不建议
4. OSS和CDN都配置并且保持一致
这是最安全的做法,但保持一致成本较高

总的来说,1和2的安全性是一致的,所以如果安全性不高选择2,安全性高则选择4。

OSS与CDN的跨域配置

OSS和CDN的跨域配置是分离的。配置可以分为下面几种情况:
1. 只配置OSS
安全性一般,可能会通过CDN的域名扫描到资源,而且这样做会因CDN的缓存配置导致有时候200有时候403的情况。
2. 只配置CDN
安全性一般,可能会通过OSS的域名扫描到资源。
3. OSS和CDN都配置但不保持一致
很容易混乱,出问题很难查,不建议
4. OSS和CDN都配置并且保持一致
这是最安全的做法,但保持一致成本较高

总的来说,1和2的安全性是一致的,所以如果安全性不高选择2,安全性高则选择4。

druid0523
关注
专栏目录
跨域问题与阿里云防盗链
Aria233的博客
04-22 2956
问题引入 在回答这篇文章下一位网友的问题时,想写一个程序通过调用https://geo.datav.aliyun.com提供的API获取数据,并进行拼接生成自己想要的数据。 样例JSON API在浏览器中打开如下图所示: 当自己在代码中试图用ajax(XMLHTTPRequest)的方式发送GET请求时,出现了跨域问题。 问题分析 尝试解决跨域问题的常见方法 解决跨域的常见方法有CORS(跨域资源共享)和JSONP。其中CORS的简单介绍可见阮一峰的网络日志。但是检查响应头,如下图,发现access-c
Nginx基础应用——跨域防盗链
石灰聪的博客
11-06 382
跨域 什么是跨域? 出于浏览器的同源策略限制,可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同源策略会阻止一个域的javascript脚本和另外一个域的内容进行交互。所谓同源(即指在同一个域)就是两个页面具有相同的协议(protocol),主机(host)和端口号(port),当一个请求url的协议、域名、端口号三者之间任意一个与当前页面url不同即为跨域。 同源策略:同源策略是一个重要的安全策略,它用于限制一个origin的文档或者它加载的脚本如何能与另一个源的资源进行交互。
Nginx 解决跨域问题与防盗链
qq_50909707的博客
03-29 1251
一、跨域请求图解 二、跨域解决方案集
视频加密和视频防盗链之间有什么区别,该如何选择?
diandunyun2019的博客
07-21 723
视频加密,一般是指视频文件的本身做加密处理,即便有人下载到这个视频,也不能直接通过播放器观看; 视频防盗链,通常是说一个视频文件只能在授权的域名下观看,在未授权的域名下时,就不能正常的观看,但是这个视频文件如果被下载,是可以直接通过播放器来观看的,因为该文件本身没有做加密的。 该如何选择? 这完全取决于学员数量的固定性和课程的周期性,下面举两个简单的例子来看下: 比如你的学员有一百人在一定时间之内是固定的,而每个课程的周期最少在一个多月之内才可以完成。这种情况下完全可以用视频加密的方式,因为这样既能保证了.
阿里oss配置跨域防盗链
qq_42962779的博客
09-09 362
阿里oss存储配置跨域,不配置上传有跨域问题 阿里oss存储配置防盗链,白名单
Nginx跨域访问场景配置和防盗链详解
09-29
在本文中,我们将深入探讨Nginx服务器在处理跨域访问防盗链方面的配置。跨域访问控制和防盗链是Web服务器管理中两个重要的安全措施,它们对于保护网站资源和确保正常用户体验至关重要。 首先,我们来理解一下为...
html域名防盗链,跨域访问防盗链基本原理(一)
weixin_35117321的博客
06-03 633
一、什么是防盗链网站资源都有域的概念,浏览器加载一个站点时,首先加载这个站点的首页,一般是index.html或者index.php等。页面加载,如果仅仅是加载一个index.html页面,那么该页面里面只有文本,最终浏览器只能呈现一个文本页面。丰富的多媒体信息无法在站点上面展现。那么我们看到的各类元素丰富的网页是如何在浏览器端生成并呈现的?其实,index.html在被解析时,浏览器会识别页面源...
S3 防盗链/跨域访问
neo949332116的博客
11-20 894
跨域资源共享 CORS 详解http://www.ruanyifeng.com/blog/2016/04/cors.html origin 对于简单请求,浏览器直接发出CORS请求。具体来说,就是在头信息之中,增加一个Origin字段。 下面是一个例子,浏览器发现这次跨源AJAX请求是简单请求,就自动在头信息之中,添加一个Origin字段。 GET /cors HTTP/1.1 Origin: http://api.bob.com Host: api.alice.com Accep...
Nginx----跨域防盗链
m0_53157173的博客
10-25 918
NginxNginx的跨域问题解决同源策略跨域问题跨域问题的案例演示解决方案静态资源防盗链什么是资源盗链Nginx防盗链的实现原理: Nginx的跨域问题解决 这块内容,我们主要从以下方面进行解决: 什么情况下会出现跨域问题? 实例演示跨域问题 具体的解决方案是什么? 同源策略 浏览器的同源策略:是一种约定,是浏览器最核心也是最基本的安全功能,如果浏览器少了同源策略,则浏览器的正常功能可能都会受到影响。 同源: 协议、域名(IP)、端口相同即为同源 http://192.168.200.131/us
防盗链与防防盗链简析
曹定栓的博客
07-26 223
防盗链与防防盗链简析
阿里云OSS防盗链方案详解
热门推荐
草莓甜甜圈的博客
06-22 1万+
OSS(Open StorageService)非常适合存储静态文件并提供对外访问,例如图片、文档、视频、音频和静态页面等。它是一种海量、安全、低成本、高可靠的云存储服务,并按存储空间和对外流出流量计费。OSS要为网站提供真正意义上的服务,一定要解决防盗链的问题。本最佳实践要解决的主要问题就是如何实现防盗链机制,避免承担因此带来的额外OSS流量费用。 OSS在 Bucket级别提供了防...
配置防盗链
weixin_34357267的博客
11-28 100
通过限制referer来实现防盗链的功能 什么是防盗链? 而refer就是A站点,在B服务器上传图片,用户访问A服务器,A上做超链接到了B服务器上,图片是B服务器上发出去的,对B机器来说没有任何的意义。A导致B服务器流量增加。A服务访问速度提升,可以免费使用带宽资源。 解决办法: 1.把A上传在B机器上的图片删除,这样流量降下来。因为用户访问图片,会调用...
阿里云 OSS 如何设置防盗链, 上个月图床流量耗费50G+,请求次数10W+,什么鬼?
weixin_34090562的博客
05-18 2715
欢迎关注个人微信公众号: 小哈学Java, 优质文章第一时间获取!! 个人网站: www.exception.site/essay/how-t… 目录 一、背景 二、背后有啥猫腻 三、什么是盗链? 四、为什么会被盗链? 五、OSS 设置防盗链 六、验证一下效果 七、另外一些应对手段 一、背景 小哈前天陆续接到三个电话,但都因为忙于工作、下雨天等各种因素导致没接上,电话均来自杭州,心理一想,估计...
阿里云对象存储之文件上传
weixin_53998054的博客
08-19 1482
文件上传
OSS的Referer防盗链是否生效
qq_52652441的博客
11-18 537
概述 本文主要介绍如何验证OSS的Referer防盗链是否生效。 详细信息 测试准备 在OSS控制台中设置Referer,其访问白名单为http://oss.jinxiangtest.com。 设置Referer不允许为空。 在Bucket中创建一个名为testoss.txt的文件。 具体设置操作请参见设置防盗链,OSS防盗链细节请见防盗链的介绍。 测试方法 https://help.aliyun.com/knowledge_detail/39521.html ...
如何实现网站的防盗链
weixin_33894640的博客
07-22 969
背景 A是网站站长,在A的网站的网页里有一些图片和音频视频的链接,这些静态资源都保留在阿里云对象存储OSS上。B是另一个网站的站长,B在未经A允许的情况下,偷偷使用A的网站的图片资源,放置在自己网站的网页中,通过这种方法盗取空间和流量。 在这样的情况下,第三方网站用户看到的是B的网站,网站用户不知道也不关心网站里的图片是来自于哪里。 由于OSS是按照使...
盗链与防盗链简介------结合阿里云oss存储来介绍
NicolasLearner的博客
04-05 809
第一次听说防盗链的时候,是懵逼的, 什么? 防盗链? 是防止盗窃的锁链吗? 多少钱一根? 我想买一根! 呵呵哒。看完本文后, 就应该会明白了。 虽是做后台开发, 但发现web这块也挺有意思的, 本来想写点盗链与防盗链, 但发现阿里云资料很好, 所以就不自己重复写了, 直接搬过来学习和分享, 感谢阿里云。该文的两个思路分别是refer和token, 这也是防盗链最常用的两种方法,可以结合起来使用。 就我个人经验而言,之前打击过恶意访问,主要判断依据就是refer, 何为...
如何避免阿里云对象储存OSS被盗刷
最新发布
木头分享 - 分享有价值的、实用的干货
10-23 902
例如配置为*www.aliyun.com/,可匹配如http://www.aliyun.com/和https://www.aliyun.com/地址。配置为*.aliyun.com,可匹配如help.aliyun.com、www.aliyun.com等地址。在www.aliyun.com/123、www.aliyun.com.cn等以www.aliyun.com为前缀的地址。支持带端口的域名或IP地址,例如www.example.com:8080、10.10.10.10:8080等地址。
【搭建博客】picGo+OSS防盗链配置(不同平台)
纯码农的博客
09-19 745
汝之观览,吾之幸也!本文主要讲解在使用picGo+OSS使用时会出现防盗链问题。
Nginx跨域配置与防盗链策略详解
Nginx跨域访问场景配置与防盗链详解 在现代Web开发中,浏览器的同源策略(Same-Origin Policy)是一个重要的安全机制,它限制了来自不同源的脚本、图片、样式表等之间的通信。浏览器默认禁止跨域访问,主要是为了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值